整合 Azure Monitor 與 Google SecOps

整合版本:1.0

本文說明如何將 Azure Monitor 與 Google Security Operations (Google SecOps) 整合。

用途

Azure Monitor 整合功能可解決下列用途:

  • 記錄擴充和背景資訊:在事件發生期間,使用 Google SecOps 功能搜尋 Azure 監視器記錄 (例如 Azure 活動或安全性事件),擷取額外背景資訊、確認可疑活動,或找出涉及 Azure 資源的違規範圍。

  • 調查 Azure 驗證事件:使用 Google SecOps 功能查詢登入記錄,找出可疑的 IP 位址或使用者實體,並從 Azure 快速擷取所有相關的驗證嘗試和存取記錄,協助調查帳戶遭盜用事件。

  • 驗證雲端設定錯誤:使用 Google SecOps 功能對 Azure 活動記錄執行特定 Kusto 查詢語言 (KQL) 查詢,檢查網路安全群組、防火牆規則或主要 Azure 服務設定的近期變更,這些變更可能已觸發警報。

事前準備

在 Google SecOps 平台中設定整合功能前,請確認您具備下列項目:

  • Azure AD 應用程式註冊:Azure Active Directory (Azure AD) 應用程式,具備存取記錄資料的必要權限 (例如 Log Analytics Reader),您必須從中取得用戶端 ID 和用戶端密碼。如需設定這個應用程式以存取 API 的詳細步驟,請參閱「存取 Azure 監視器記錄 API」。

  • 租戶 ID:Azure Active Directory 執行個體的專屬 ID,完成 OAuth 2.0 驗證流程時必須提供這個 ID。

  • Log Analytics 工作區 ID:特定 Azure Monitor Log Analytics 工作區的專屬 ID,整合服務會查詢該工作區的記錄。如要進一步瞭解如何找出工作區 ID,請參閱「工作區」。

整合參數

整合 Azure 監視器需要下列參數:

參數 說明
Login API Root

必填。

Azure Monitor 服務的登入 API 根目錄。

預設值為 https://login.microsoftonline.com
API Root

必填。

Azure Monitor 服務的 API 根目錄。

預設值為 https://api.loganalytics.io
Tenant ID

必填。

Azure 監視器帳戶租戶 ID。
Client ID

必填。

Azure 監視器帳戶的用戶端 ID。
Client Secret

必填。

Azure Monitor 帳戶的用戶端密碼。
Workspace ID

必填。

Azure 監視器帳戶工作區 ID。
Verify SSL

必填。

如果選取這個選項,整合服務會在連線至 Azure Monitor 伺服器時驗證 SSL 憑證。

(預設為啟用)。

動作

如要進一步瞭解動作,請參閱「 從工作台回覆待處理動作」和「執行手動動作」。

乒乓

使用「Ping」動作測試與 Azure 監視器的連線。

這項操作不會在 Google SecOps 實體上執行。

動作輸入內容

動作輸出內容

「Ping」動作會提供下列輸出內容:

動作輸出類型 可用性
案件總覽附件 無法使用
案件總覽連結 無法使用
案件總覽表格 無法使用
補充資訊表格 無法使用
JSON 結果 無法使用
輸出訊息 可用
指令碼結果。 可用
輸出訊息

「Ping」動作可能會傳回下列輸出訊息:

輸出訊息 訊息說明

Successfully connected to the Azure Monitor server with the provided connection parameters!

 動作成功。
Failed to connect to the Azure Monitor server! Error is ERROR_REASON

動作失敗。

請檢查伺服器連線、輸入參數或憑證。
指令碼結果

下表列出使用「Ping」動作時,指令碼結果輸出的值:

指令碼結果名稱
is_success TrueFalse

搜尋記錄

使用「搜尋記錄」動作,對 Azure Monitor 工作區執行 KQL 指令,根據提供的查詢字串擷取特定記錄資料。

這項操作不會在 Google SecOps 實體上執行。

動作輸入內容

「搜尋記錄」動作需要下列參數:

參數 說明
Workspace ID

選填。

要搜尋的工作區 ID。

如未提供值,動作會使用整合設定中的 Workspace ID。
Query

必填。

動作對記錄資料執行的查詢 (KQL 指令)。
Time Frame

選填。

查詢的時間範圍。

如果選取 Custom,則必須一併提供 Start Time

可能的值如下:

  • Last Hour
  • Last 6 Hours
  • Last 24 Hours
  • Last Week
  • Last Month
  • Custom

預設值為 Last Hour
Start Time

選填。

查詢的開始時間,採用 ISO 8601 格式。

如果 Time Frame 中選取 Custom,則必須提供這個參數。
End Time

選填。

查詢的結束時間,採用 ISO 8601 格式。

如果在 Time Frame 中選取 Custom,但未提供任何值,系統會使用目前時間。
Max Results To Return

必填。

搜尋作業傳回的結果數上限。

上限為 1000

預設值為 100

動作輸出內容

「搜尋記錄」動作會提供下列輸出內容:

動作輸出類型 可用性
案件總覽附件 無法使用
案件總覽連結 無法使用
案件總覽表格 無法使用
補充資訊表格 無法使用
JSON 結果 可用
輸出訊息 可用
指令碼結果。 可用
JSON 結果

下列範例顯示使用「搜尋記錄」動作時收到的 JSON 結果輸出內容:

[
 {
   "TimeGenerated": "2025-10-07T06:44:40.4570918Z",
   "OperationName": "Update datascanners"
 },
 {
   "TimeGenerated": "2025-10-07T06:44:41.1760472Z",
   "OperationName": "Update datascanners"
 },
]
輸出訊息

「搜尋記錄」動作可能會傳回下列輸出訊息:

輸出訊息 訊息說明

Successfully returned results for the query QUERY in Azure Monitor.

No results were found for the query QUERY in Azure Monitor.

 動作成功。
Error executing action "Search Logs". Reason: ERROR_REASON

動作失敗。

請檢查伺服器連線、輸入參數或憑證。
指令碼結果

下表列出使用「搜尋記錄」動作時,指令碼結果輸出的值:

指令碼結果名稱
is_success TrueFalse

還有其他問題嗎?向社群成員和 Google SecOps 專業人員尋求答案。